이해민 “의도적으로 인지하고 무시한 것 아닌가” 의혹 제기
배경훈 “보안 낮을 수 있지만 법률적 문제 아니야”
[방송기술저널 백선하 기자] LG유플러스의 IMSI 문제가 국회 과학기술정보방송통신위원회의 뜨거운 감자로 떠올랐다.
LG유플러스는 4세대 이동통신(4G) 도입 이후 현재까지 가입자 식별에 쓰이는 국제모바일가입자식별정보(International Mobile Subscriber Identity, IMSI)를 설계하면서 가입자의 실제 번호를 일부 포함하는 방식을 사용했다. IMSI는 이동통신 네트워크에서 가입자를 식별하기 위해 부여되는 15자리의 고유 번호로 ‘유심 고유 주민등록번호’라고 이해하면 된다.
SK텔레콤이나 KT 등은 난수 등을 활용한 예측이 어려운 방식을 택하고 있다. 전문가들은 IMSI 값 유출이 즉각적인 해킹으로 이어지지 않지만 다른 정보와 결합할 경우 보안 위협으로 이어질 수 있다고 우려하고 있다.
이에 LG유플러스는 4월 13일부터 전 고객 대상 유심 무상 교체와 재설정을 진행하고, IMSI 체계 난수화를 도입하겠다고 3월 17일 밝혔다.
지난 24일 열린 국회 과방위 전체회의에서는 IMSI를 둘러싸고 정부와 국회의 입장이 갈리며 신경전이 벌어졌다.
이해민 조국혁신당 의원은 “핸드폰에서 기지국으로 날아갈 때 가입자식별정보는 암호화를 하지 않는다”며 “그렇기 때문에 난수화, 랜덤화를 해야 하는데 LG유플러스는 그것을 그냥 전화번호로 계속 쓰고 있었다”고 꼬집었다.
이어 “IMSI 값 표준이 마련되던 2004년과 LG유플러스가 LTE를 도입하던 때 업데이트를 할 수 있는 기회가 있었음에도 지금 상태”라면서 “의도적으로 인지하고도 무시했던 것은 아닌가”라며 LG유플러스의 신규 가입 중단 등의 조치를 과학기술정보통신부에 요청했다.
김장겸 국민의힘 의원도 “LG유플러스는 앞서 침해사고에도 당국의 조사를 방해했다는 의혹을 받고 있다”며 “국민 우려를 불식시키기 위해 과기정통부와 부총리가 직접 나서 어떤 행정 조치를 검토하고 있는지, 신규 가입자 보호 대책은 뭔지 보고해달라”고 요구했다.
최민희 과방위원장은 “IMSI 값 노출만으로 2차 피해가 발생할 가능성이 있느냐”고 배경훈 부총리 겸 과기정통부 장관에게 질의했다. 배 부총리는 “현저히 낮다고 생각한다”며 “위치추적에 대한 우려는 IMSI 캐처가 있어야 하고 여러 환경과 조건이 수반돼야 한다”고 답했다. 또 보안이 낮을 수는 있지만 법률적으로 문제가 있는 것은 아니라는 입장을 밝혔다.
